摘要:隨着互聯網的不斷髮展,網絡給人們帶來便捷的同時也存在一些安全隱患問題。對網絡安全的攻擊有很多種方式,爲了更好地的對網絡安全態勢進行評估,就需要結合網絡中的報警數據對其進行因果分析,識別出攻擊的意圖與當前的攻擊階段,本文主要闡述網絡安全態勢評估的基礎,然後找到網絡安全隱患的問題,針對主機的漏洞與配置信息,對網絡安全態勢進行評估。通過構建模型,根據攻擊的次數、頻率,對網絡安全進行進一步的預測,使其能夠更加準確地反映出攻擊的情況,對網絡安全態勢預測的結果進行整理,提高預測的準確性。
關鍵詞:多步攻擊;網絡安全;評估
一、網絡安全態勢評估的基礎
網絡安全的狀態是根據在出現攻擊時,出現的攻擊軌跡和各種攻擊軌跡對網絡產生的影響。當不同的攻擊者在入侵到電腦中都會有不同的行爲進而會帶來不同的影響。在對網絡安全態勢的評估中主要要注意攻擊信息和網絡環境信息。
首先,要對網絡安全態勢評估的基礎信息進行闡述。一是主機信息。在主機信息中主要包括網絡中的主機及設備,比如軟件、硬件等。隨着網絡技術的發展,其中最容易受到攻擊的是網絡設備,所以在進行分析時要從整體的角度去看問題。在對主機信息進行描述時,可以通過四元組的方式來進行。還要對主機的IP地址,主機所運行的服務信息比如說SSHD、SQL、HTTP等進行了解,根據主機上存在的一些問題可以找到網絡安全的漏洞。隨着網絡的發展,網絡攻擊成爲人們關注的問題,主機之間很容易出現一些漏洞問題,可以把這一問題可以直接歸結爲脆弱性集合V。
當對數據進行收集時,可以通過五元組來進行表示。其中,ID也就是脆弱性集合中的顯著標志。在網絡安全態勢,脆弱性集合也有不同的類型,在網絡運行的過程中容易出現一些錯誤的信息,按照分類可以包括非安全策略、防火牆配置錯誤、設備接入權限設置錯誤等。在網絡中會存在一些漏洞問題,就需要相關人員在網絡中對這些漏洞進行統計,再根據IP地址對這些信息進行採集,通過漏洞去分析可能會造成的危害,然後對整個網絡的脆弱性進行系統的描述。
在網絡安全態勢評估中,有一個因素很重要那就是拓撲結構。拓撲結構是指在網絡過程中主機是通過這一物理結構進行連接的,在表示方面可以用無向圖來代表。其中,N是主機中的一個集合點,E表示連接節點間的邊。在網絡安全態勢評估中,不可忽視的一點就是網絡的連通性。網絡的連通性也就是指主機與主機之間的通信關係。在進行連接的過程中要想保證整個網絡的安全性能,就需要管理者通過一系列的行爲限制訪問者,這樣能夠使一些外部的主機不能夠訪問到內部的網絡,或者是僅僅可以通過部分的協議與端口進行通信,這一行爲能夠在一定程度上保護網絡的安全性。
在這一過程中可以使用一個三元組,通過其來對網絡的連通關係進行闡述,進而通過雙方連接完成這一關係。原子攻擊事件是指在整個網絡運行過程中攻擊者對其進行單個攻擊,主要是通過服務器的一些漏洞而進行這一行爲,通過一個八元組對其進行表示。其中,在這一攻擊事件中ID是主要因素,除此之外還包括髮生的時間、地址、攻擊者的源端口等,在整個事件中要分析攻擊類型需要結合安全事件中發生的實際情況,然後對前因後果進行分析得出該攻擊事件會發生的概率。在網絡安全態勢中,需要對攻擊狀態轉移圖進行考量。在攻擊狀態轉移圖中使用一個四元組,S表示狀態節點集合。在狀態節點集合中,要考慮到集合點中的子節點。還可以通過二元組的方式,對攻擊狀態中的轉移圖進行組合。在整個安全事件中可以把表示完成狀態轉移爲I,把其作爲所必需的原子攻擊事件。在一個二元組中,用一個二元組(Si,di)表示,表示攻擊間的依賴關係,然後根據攻擊類型集合的有序對其進行判斷。其中,在該集合中表示該攻擊狀態的父節點必須全部成功,這樣才能夠保證在攻擊階段實現,然後來確定依賴關係爲並列關係。
在整個關係中,當在攻擊狀態中任意一個父節點成功,就可以保證攻擊狀態實現,在這個關係中依賴關係爲選擇關係。在整個網絡安全態勢轉移模型中,也就是通過根據以往的網絡攻擊模式來建立模型,這樣能夠充分得出攻擊模型庫。然後可以選擇一些實際的網絡攻擊事件,對其進行攻擊的狀態轉移圖設計。就比如最近出現的勒索軟件事件,這就屬於一種多步攻擊下的網絡安全事件。在這次事件中,通過狀態節點集合,找到地址然後分析該行爲進行登錄,在攻擊事件中包括文件列表網絡探測掃描、登錄操作等。還可以通過兩個狀態節點對網絡安全態勢進行分析,比如IP地址嗅探是端口掃描的父節點,當在檢測的過程中處於端口掃描時,就說明該形成已經成功,也就意味着二者存在並列關係。
二、網絡安全態勢評估的整體流程
網絡安全態勢評估的流程如下:一是要對整個安全態勢的數據進行收集。需要根據檢測出來的結果,再根據網絡運行過程中的數據,對收集的信息進行規範,這樣能夠得出網絡安全態勢評估中所需要的要素集。在對網絡安全態勢要素集進行分析時,要從兩個方面來進行考量,1)是攻擊方信息,2)是環境信息。攻擊方信息是通過互聯網入侵的過程中遺留下來的一些痕跡,比如一些防火牆,然後根據這些報警信息找出攻擊事件發生的原因。環境信息包含主機信息、拓撲結構、網絡連通性。
在對該數據進行收集時,主要是對一些網絡信息收集過程中遺漏下的數據,然後在通過拓撲結構對其進行統計,利用防火牆過濾其中的不安全信息。主機信息是在系統運營階段把一些軟件中容易出現漏洞的情況,對其進行進一步的補充。二是對網絡攻擊階段進行識別。在這一階段中,要對數據進行系統的收集,然後根據數據分析出現攻擊行爲的原因。這樣才能夠對攻擊者的行爲進行特點的歸類,這樣才能夠把已有的攻擊信息整合到多個事件中,然後根據每個事件之間的關係對其進行場景的劃分,這樣便於預測出攻擊者的攻擊軌跡。最後,在結合實際中出現的攻擊場景,結合攻擊者在整個過程中所採用的方式對比,這樣能得出攻擊的階段。三是要對網絡安全態勢進行合理分析。在網絡安全態勢的評估中要以攻擊階段結果爲基礎,這樣才能夠整合網絡中的信息,根據相應的量化指標,進而對整個網絡安全態勢進行評估。
三、提高多步攻擊下網絡安全態勢的策略
(一)建立網絡安全態勢評估模型
隨着信息技術的發展,很多網絡安全問題也接踵而至,大量的信息存在良莠不齊的情況,容易出現安全報警數據。但是由於信息量比較大,經常會出現一些錯報、誤報的情況,容易導致出現一些網絡攻擊的情況時不能夠對其進行及時的防護。在出現這樣的狀況時,可以通過攻擊事件的聯繫,要適當的對那些場景進行還原,這樣能夠不斷提高網絡的檢查力度,進而實現對網絡安全態勢的評估與預測。
爲了保證網絡安全性,就需要通過建立模型來對其進行評估。在建立網絡安全態勢評估模型時,要結合攻擊發生的概率。攻擊發生的概率是指在通過忘了的檢測把數據進行整合,然後得出會出現攻擊情況的可能性。在攻擊階段需要根據支持概率對其進行分析,這樣能夠找到發生攻擊時會出現在某個階段的可能性。還要考慮到攻擊階段的轉移概率,轉移概率是指在攻擊的過程中所處的階段轉移到下一個階段的可能。還要考慮到會發生的攻擊威脅問題,攻擊威脅是指在攻擊過程後會帶來的一些影響,然後根據攻擊的性質對這些情況進行分析。
建立網絡安全態勢評估模型,首先要對網絡中的數據進行整合,通過整合對這些數據進行分析,找出攻擊者的想法和攻擊的過程,然後在對網絡安全態勢進行分析時要着重考慮攻擊階段。在評估的過程中,可以採取自下而上、先從局部到整體的方法對其進行預測。然後根據評估模型,在根據攻擊的模式對其進行一定的分析得出具體的網絡安全態勢評估方法。
其次,對這些數據進行甄別。對於網絡中的報警數據進行整合之後,這樣可以減少數據的錯報和延報問題,能夠提高出現攻擊發生的概率。然後在攻擊階段要學會篩選,根據以往得到的數據進一步分析,得出攻擊階段出現的概率。根據節點態勢進行評估,然後對攻擊階段會產生的攻擊威脅,算出安全態勢的節點。最後,可以從整體對網絡安全態勢進行評估。把節點的態勢根據實際的.數據來進行整合,最後得出網絡的安全態勢。根據網絡態勢對其進行預測,依據攻擊階段狀態轉移所依賴的漏洞信息與本節點的漏洞信息,得出攻擊意圖轉移概率,進而對網絡安全態勢進行準確的預測。
(二)建立健全數據融合平臺
在面對多步攻擊時,爲了降低其對網絡安全的威脅,就需要建立健全數據融合平臺。首先,要對網絡中的數據進行多方位的整合,然後根據融合的數據來分析結合,辨別出攻擊的意圖與當前攻擊的階段,攻擊階段是整個安全網絡態勢評估的一個重要因素,在方式上可以採取自下而上、先從局部再到整體的方法,這樣有利於從整體的角度去看待網絡安全態勢。其次,在攻擊階段可以通過轉移的方式,找出系統中存在的一些問題比如信息的遺漏,然後根據以往的策略找出攻擊者可能進行的下一個目標,這樣能夠準確的推算出網絡安全態勢的發展趨勢。爲了找出網絡安全態勢的發展趨勢,可以通過建立模型的方式,收集攻擊時的一些數據,攻擊成功概率是指對於特點網絡下某種攻擊成功入侵的可能性。結合攻擊成功與否依賴於攻擊技術與入侵網絡的環境配置與漏洞信息,然後分析這些數據的成功率是多少。再結合攻擊的頻率結合攻擊的概率考慮到出現安全問題的可能性。然後根據攻擊階段數據的收集,利用現代互聯網技術把其放在大平臺上,對這些數據進一步分析,挑選出可能對網絡安全造成威脅的因素,進一步完善網絡機制。
(三)建立網絡安全預警機制
爲了提高網絡安全的性能,就需要建立網絡安全預警機制。雖然網絡不受時間、空間的限制具有一定的便捷性,但同時也存在一定的安全隱患問題。網絡中存在很多病毒,攻擊者一般是通過攻擊防火牆來入侵人們的電腦。由於網絡上信息良莠不齊,建立網絡安全預警機制可以隨時對這些不良信息進行彙總,比如說可以從系統的日誌報警信息、防火牆、入侵檢測系統等,都可以說明網絡安全問題,但是沒有辦法對其進行一一的攻擊模式識別。主要是因爲不同的產品在對於報警方面有不一樣的方式,所以容易出現很多報警信息在處理上的混亂。當然在安全方面還會存在一定的問題,進而會影響到報警信息的傳遞,比如出現延誤或誤報的情況,所以在對信息的收集上要學會篩選,這樣才能夠保證報警信息能夠相互補充得到一定的證明,然後才能夠更加精確的使用報警信息。
首先,要收集這些報警信息對其進行處理。然後根據數據的種類對其進行分類,設置一定的過濾系統,把一些不符合規定的信息處理掉。比如出現一些錯誤的數據、超出規定的數據等,可以把這些報警信息視爲不合格的,可以直接把其過濾掉。
其次,爲了方便以後的報警信息處理,可以建立一個統一的數據格式,然後把其進行推廣成爲一種可以標記的語言比如說公共數據模型。當面對較多的報警信息,要及時進行處理這樣可以減少後面對報警信息整合的負擔,減少出現信息堵塞的問題,提高信息的質量,這樣能夠讓管理人員及時瞭解信息的狀況,根據信息的分類對其進行處理,把一些具有重複性或者是相似性的報警信息歸爲同一條報警信息。
最後,可以對這些分類後的報警信息來進行融合,保證降低一些數據的延誤與誤報的情況,這樣能夠提高信息的安全性能,精簡安全報警信息的數量。針對報警信息與傳感器攻擊的頻率整合信息,然後把報警信息通過電腦手機,得出更精準的攻擊頻率。
四、結語
綜上所述,本文主要闡述多步攻擊下網絡安全的基本概念,然後通過對網絡安全態勢評估的分析,建立模型能夠對其進行一定的預測,綜合網絡安全態勢評估選擇適合不同網絡的方法,根據網絡的特點提出更具有提高網絡安全態勢的策略。
參考文獻:
[1]李方偉,張新躍,朱江,等.基於信息融合的網絡安全態勢評估模型[J].計算機應用,2015,35(7):1882-1887.
[2]王坤,邱輝,楊豪璞.基於攻擊模式識別的網絡安全態勢評估方法[J].計算機應用,2016,36(1):194-198.
[3]許紅.網絡安全態勢評估若干關鍵技術研究[J].信息通信,2015(10):160-161.
[4]楊宏宇,褚潤林,李東博.一種新的網絡安全態勢評估方法[J].微電子學與計算機,2015(1):29-34.
[5]陳虹,王飛,肖振久,等.一種融合多源數據的網絡安全態勢評估模型[J].計算機工程與應用,2015,51(17):96-101.
